Protocolul DeFi Beanstalk Farms a pierdut peste 180 de milioane de dolari în favoarea jucătorilor rău intenționați din cauza unui exploit din 17 aprilie care a permis unui hacker să treacă o propunere de guvernare.
EthereumBazate pe stablecoin Exploatarea protocolului a lăsat lipsă mai multe jetoane și a văzut monedele stabile legate de dolari americani coboara sub marca de $1.
Beanstalk a suferit o exploatare astăzi.
Echipa Beanstalk Farms investighează atacul și va face un anunț comunității cât mai curând posibil.
— Beanstalk Farms (@BeanstalkFarms) Aprilie 17, 2022
Protocolul de fasole exploatat
Companie de securitate blockchain PeckShield a raportat mai întâi hack-ul pe Twitter și a spus: a hacker a furat peste 80 de milioane de dolari exploatând Beanstalk Farms.
1 / The @BeanstalkFarms a fost exploatat într-o rafală de txs (https://t.co/PMsdP5dnJG și https://t.co/wyHe3ARZgU),
ceea ce duce la un câștig de 80+M$ pentru hacker (Pierderea protocolului poate fi mai mare), inclusiv 24,830 ETH și 36M BEAN.- PeckShield Inc. (@peckshield) Aprilie 17, 2022
Hackerul a folosit împrumuturi flash pentru a obține o cantitate mare de jetoane Beanstalk STALK, ceea ce le-a oferit suficientă putere de vot pentru a trece o propunere de guvernare care a drenat toate fondurile din protocol în portofelul hackerului.
Hackerul a rambursat apoi împrumuturile flash de la Aave, uniswap V2, și Sushiwap și a convertit fondurile în Wrapped ETH. Fondurile furate au fost apoi trimise prin mixerul Tornado Cash. Hackerul a donat și Ucrainei o parte din cripto-ul furat.
4/ Din fondurile inițiale pentru lansarea hack-ului sunt retrase @SynapseProtocol iar majoritatea câștigurilor rezultate sunt depuse către @TornadoCash. În prezent, 15,154 ETH rămân încă în contul hackerului. Rețineți că hackerul donează 250 USDC pentru Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Aprilie 17, 2022
Exploaturile de împrumut flash sunt comune
Exploata lui Beanstalk Farms nu este tPrima dată când atacatorii au exploatat împrumuturile flash. Conform rezumatului atacului postat pe serverul Beanstalk Discord, exploit-ul a avut loc deoarece Beanstalk nu a reușit să:
„Utilizați o măsură de rezistență la împrumut rapid pentru a determina procentul de Stalk care a votat în favoarea BIP.”
1/5
Noul popular @beanstalkfarms protocolul a pierdut peste 181 de milioane de dolari în exploitul de astăzi, dar atacatorul a câștigat doar 76 de milioane de dolari.
Să ne dăm seama ce s-a întâmplat? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Aprilie 17, 2022
Firma de securitate blockchain responsabilă cu auditarea contractelor inteligente Beanstalk, Omnicia, a declarat că Beanstalk a lansat codul cu vulnerabilitatea împrumuturilor flash după auditul său. A adăugat într-un analiza post-mortem a atacului că încă nu auditase codul exploatat.
Având în vedere prevalența de exploatările de împrumuturi flash în spațiul DeFi, este surprinzător că Beanstalk a introdus codul fără auditare adecvată.
În plus, există îngrijorări cu privire la dacă protocolul va rambursa utilizatorii. Beanstalk Farms a declarat că va oferi mai multe actualizări la următoarea sa întâlnire a primăriei.
Hackul vine la doar câteva săptămâni după o exploatare a podului Ronin pierdut peste 600 de milioane de dolari pe Axie Infinity în martie.
Între timp, utilizarea Tornado Cash de către hackeri a dat naștere unor critici pentru lipsa de efort în prevenirea fraudei. TMixerul ETH a spus recent că folosește contractul Chainanalysis Oracle pentru bloca adresele sancționate de Oficiul pentru Controlul Activelor Străine (OFAC) din utilizarea serviciilor sale.
Utilizări Tornado Cash @chainlysis contract oracle pentru a bloca accesul adreselor sancționate OFAC la dapp.
Menținerea confidențialității financiare este esențială pentru păstrarea libertății noastre, cu toate acestea, nu ar trebui să vină cu prețul nerespectării.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Aprilie 15, 2022
Sursa: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/